金融資安中心建立主動的資安防護思維

2017 / 05 / 10

編輯部

過去這一年對金融業的IT人員可說是充滿內憂外患的一年。內憂是面對金融科技的趨勢，雖然政府在法規上尚有諸多限制，國內銀行還是推出相關的App，希望提供客戶更便利的金融服務。但2016年7月媒體報導，國內資安鑑識業者鑒真數位檢測20家銀行業者於Google Play上架的App，結果竟有17家不安全。

外患則是自2016年1月就出現英國匯豐銀行遭DDoS攻擊、2月孟加拉銀行遭駭，被盜領8,100萬美金。接著國內6月也發生一銀ATM盜領事件，今年初農曆過年前後則爆發出多名券商集體遭DDoS攻擊勒索，在在顯示國內金融資安有待加強的必要，也讓我國負責主管金融單位的機關金管會更加速「金融資安中心」(F-ISAC平台)的成立。

提供通報、訓練、資服等多種功能
金管會推動的F-ISAC，在國外已有類似機構的設置，像是美國的FS-ISAC、英國的CISP、日本的F ISAC JPN、南韓的KF-ISAC。在制度上也會參考這些單位採用會員制，邀集銀行、保險、證券期貨、投信投顧等相關業者入會，目標是300家以上業者加入。經費上目前規劃約需5,000萬元，政院已提撥2,000萬，餘額部分可能由會員共同負擔。

在功能上F-ISAC規劃具備通報、情資研判分析、資安資訊分享、資安諮詢服務及漏洞評估、技術訓練/研討會/國際交流、資安事件應變協助、資安專題研究分析、金融機構資安演練，與協助資安規範評估及建議9項任務。

在具體進展上，去年行政院資安處公布的資通安全管理法草案中，便已將資通安全環境建構與資通安全產業發展視為立法目的之一。因此在草案第七條中便明訂行政院應建立資通安全情資分享機制的條文，所以自2015年底就已開始規劃建立F-ISAC情資分享平台，並在2016年3月起先試辦以投信投顧、期貨證券為主要對象的「證券暨期貨周邊單位資安資訊分享平台」。到2016年11月時已有39位會員加入，離300家目標尚有相當大的差距，也表示業者對F-ISAC的運作機制尚有疑慮。

政府應明訂規範解除金融業者的憂慮
首先是目前試辦的情資分享平台是否有用？是否真能達到事先預警的效果？這點在國內外金融機構陸續發生重大攻擊事件後，相信對業者來說有更迫切的需要，增加其加入情資分享平台的意願。
另一個讓業者擔憂的是自己主動通報的資安事件，是否會變成金管會進行金融檢查的依據？尤其是這些通報事件往往牽涉敏感資料，使得金融業者對此特別保守謹慎。這部分則有賴主管機關的強力說明，像是採用匿名通報的機制，或明確規範通報資料僅限特定用途使用等，才能讓業者更願意參與分享平台。

有助國內資安產業發展
F-ISAC的設置從國家政府的角度來看，因為銀行與金融皆屬國家重大關建基礎建設，維護金融體系的資訊安全也是國家資訊安全的一部分。而且從F-ISAC所規劃的9大功能來看，F-ISAC的建置維運，除了最基本的資安軟、硬體廠商受惠外；其他資服廠商，像民間的SOC、各大電信業者等都會參與其中，也有助於國內資安產業的發展。

對金融業者來說，採取封閉但相對安全的基礎架構已經過去。未來的金融消費只會朝向更開放、多元的趨勢演變，所以對資訊安全也要從被動的防護，走向積極的預警通報。畢竟連駭客都已經走向組織分工的時候，金融業者也不能再用單打獨鬥的防禦思維，而需彼此合作建立聯防體系，才能遏阻攻擊，預防事件擴大降低用戶信心，而影響到金融業務的推展。

資安防護 F-ISA